《信息与通信技术和服务供应商安全要求（征求意见稿）》编制说明.docx

信息与通信技术和服务供应商安全

要求

编制说明

一、目的意义

近年，信息与通信技术和服务供应商提供的产品及服务在各领域广泛应用，相关安全事件亦快速增长，并在软件生命周期的各个环节、系统的各个层次上均有发生。例如，某微信服务商私自使用数家银行600余万条会话存档数据、4家省联社网银系统客户信息和账户信息被窃取、以色列渗透供应链制造寻呼机爆炸事件、LinuxXZUtils开源项目后门投毒事件等供应链攻击事件。此类事件涉及大型信息化企业、国家关键基础设施和重要信息系统，亟待提升各方在整体网络安全中的供应链安全风险发现处置能力和供应链安全治理能力。

构建系统且具针对性的信息与通信技术和服务供应商安全能力规范，其主要目的包括几点，一是规范信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务）在管理制度、组织机构和人员、供应活动各环节中的安全能力；二是落实服务供应商安全能力认证工作；三是强化供应商安全防护手段；四是监督供应商的安全行为；五是规范供应链活动流程。

本项目成功实施的意义重大，在国家战略、供应链及企业发展等方面发挥关键作用，具体如下。

一是助力国家网络安全战略。信息与通信技术和服务供

应商安全能力规范是供应链安全治理的核心举措，也是与国家网络安全战略布局紧密契合的关键纽带。其引导信息与通信技术和服务供应商在网络架构搭建、数据流转管控、风险隐患排查等层面对接国家战略要求，凝聚强大合力，全方位保障关键信息基础设施的稳固、数据资产的安全以及网络空间的有序可控，有力推动供应链安全治理体系的科学化、规范化进程，深度践行国家网络安全战略，为国家网络安全防护建设提供关键支撑。

二是加强供应链安全韧性。供应链安全问题层出不穷，对供应链服务施行规范化要求管理，可以极大提升供应链安全风险发现的效率，减少供应链安全治理层面的人力成本。同时可以凸显供应链安全治理的重要性，帮助国内建立供应商安全能力标准要求体系，达到增强供应商网络安全能力，提升社会面供应链安全韧性的效果。

三是促进企业间信任合作。统一且明确的信息与通信技术和服务供应商安全能力规范，能为企业间合作加强相互信任。于供应链体系内，一方面，供应商依据技术规范完善自身安全能力建设，通过申请安全能力认证，提升自身的核心竞争力。另一方面，需求方可参考技术规范中的评估方法开展对供应商安全能力的考核评价，可清晰量化供应商安全能力水平，有效降低因安全隐患导致的合作风险与不确定性，增强合作信心。通过促进企业间建立更为紧密、深入且

持久的合作关系，可有力提升供应链整体协同效率与稳定性，推动产业集群式良性发展。

四是激发供应商创新动力。信息与通信技术和服务供应商安全能力规范为供应商营造了创新发展的良好环境与有力驱动。为契合规范要求，供应商需积极探索全新技术路径与解决方案，深度挖掘安全技术研发潜力，不断优化产品与服务的安全性能。在网络防护、数据安全管理等关键点，供应商将被激励加大创新投入，催生如智能化安全监测系统、高效加密传输技术等一系列具有突破性的创新成果。在提升自身核心竞争力的同时，将带动整个行业安全技术水平的进阶式提升，促进安全技术创新成果在供应链各环节的快速转化与应用，为产业可持续创新发展注入持久活力，塑造更具韧性与前瞻性的供应链生态体系。

二、任务来源

在为供应链的需求方和供应商开展供应链安全体系建设的过程中，发现现有的标准无法满足需求方和供应商的安全需求，在同众多需求方及供应商沟通交流后，形成了彼此认可的供应商安全能力评价指标体系。

三、编制过程

1)2024年6月，成立编制工作组，启动标准编制工作，公安部第三研究所开始筹备起草组成立会议，分别向行业内知名的企业、从事相关研究的单位发出邀请并开展起草

工作。

2）2024年12月，形成标准草案。

3）2024年12月5日，提交标准项目建议书

4）2024年12月30日，经过多次内部征求意见，形成标准草案修改版。

5）2025年1月7日，形成标准草案第一版。

6)2025年1月17日，召开立项评审会，邀请专家对草案给出建议。

7)2025年2月8日至2025年2月25日，期间进行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。

6)2025年3月1日，形成征求意见稿。

四、主要内容技术指标确立

本标准适用于对信息与通信技术和服务供应商中六类供应商（系统开发、产品供应、运营运维与安全服务、集成建设、云服务、数据服务）安全能力的评价，可为运营者选择供应商